Anzeige
SECURITY11. April 2018

Bitcoin-Betrugsversuche mal anders – verdächtige Domains gefährden Cyber-Sicherheit

Allexxandar / Bigstock

Die Experten des Cybersecurity-Spezialisten Proofpoint untersuchen die Trends der Cyber-Kriminellen rund um Bitcoin. Neueste Erkenntnis ist, dass sich die Anzahl potenziell betrügerischer Domains im Zusammenhang mit dem Begriff „Bitcoin“ fast parallel mit dem stark schwankenden Kurs der Kryptowährung gegenüber dem US-Dollar verändert.

Zum 12. Januar 2018 waren mehr als 100.000 Domains mit Bitcoin-Bezug registriert. Dazu gehören solche mit einem veränderten oder fehlenden Buchstaben wie „Bitcoim.com“, „btcoin.com“ oder „Bitc0in.com“, wo die falsche Schreibweise nicht unbedingt auffällt. Nach Erkenntnissen von Proofpoint gibt es unter ihnen eine sehr große Anzahl von Domains, die den Anwender zur Installation von Schadcode wie Trojanern oder Erpressersoftware verleiten wollen.

Anfang des Jahres 2018 gab es über 100.000 Bitcoin-bezogene Domains. Viele davon werden als verdächtig eingestuft und könnten für Vertipper-Domains, Social Engineering und Verteilung von Malware genutzt werden. Mit steigendem Bitcoin-Kurs nahm auch die Zahl verdächtiger Domains mit diesem Bezug zu. Ausführliche Ergebnisse zur Untersuchung und dem Trend zeigt der englische Blog-Artikel von Proofpoint.

Domains mit Bitcoin-Bezug

Die Mehrzahl der Domains im untersuchten Datensatz enthält das Wort “bitcoin” in irgendeiner Kombination mit anderen Wörtern im Namen. Über 98.000 Domains nutzen diese Methode als gängige Form von Social Engineering. Hinzu kommen diverse Varianten, die auf ähnliche aussehende Zeichen wie „0“ statt „o“, doppelte Buchstaben, weggelassene Buchstaben oder per Unicode umgesetzte Zeichen setzen.

Dabei konzentrieren sich die Anmeldungen auf eine begrenzte Nutzeranzahl. Ein Nutzer hat alleine mehr als 300 derartige Domains registriert und immerhin 600 Benutzer haben mehr als 10 Bitcoin-bezogene Domains registriert. Die stark gewachsene Anzahl der Domain-Anmeldungen an sich ist noch nicht verdächtig, sondern Zeichen des allgemein stark gestiegenen Interesses an Kryptowährungen.

Verdächtige Domains

Rund 30 Prozent aller Domains erwiesen sich bei Untersuchungen von Proofpoint anhand zahlreicher Kriterien als verdächtig. Ein Praxisbeispiel zeigt etwa beim Aufruf einer solchen Domain mit Safari auf einem Mac sofort einen Download-Dialog zum Update des Adobe Flash Players, der dem regulären Dialog ähnlich nachempfunden ist. Jeder Klick darauf würde aber eine Malware herunterladen. Auch weitere Meldungen im Browser wollen zum Download verleiten.

Versuchter Addon-Download in Chrome

Beim Aufruf der Beispieldomain instantbitcoinbuy[.]com mit einem anderen Browser wie zum Beispiel Chrome wird die URL weitergeleitet und möchte den Download eines vermeintlichen Sicherheits-Addons auslösen. Es handelt sich dabei jedoch um Malware für Phishing-Angriffe. Die Redaktion vom IT-Finanzmagazin konnte dieses Verhalten bestätigen. (Anm. d. Red.: Wir geben absichtlich keinen klickbaren Link an und raten zur Vorsicht.)

Parallelen zum Bitcoin-Kurs

Ein zahlenmäßiger Vergleich der Domain-Registrierungen mit Bitcoin-Bezug gegenüber dem Bitcoin-Kurs im Jahresverlauf 2017 zeigt eine enge Korrelation der Entwicklung auf Monatsbasis. Zum Jahresende hin stieg die Zahl verdächtiger Domains zusammen mit dem allgemeinen Bitcoin-Hype auch proportional noch stärker an. Mit sinkendem Bitcoin-Kurs Anfang 2018 nehmen auch die Neuregistrierungen wieder deutlich ab, der relative Anteil verdächtiger Domains ist dabei allerdings sehr hoch.

Proofpoint

Fazit

Kryptowährungen bieten Kriminellen offensichtlich neue Möglichkeiten, dem Geld zu folgen und dies für ihre arglistigen Zwecke auszunutzen. Auch nach dem jüngsten Kursverfall des Bitcoin bleiben Kryptowährungen weiterhin erste Wahl für Cyber-Kriminelle. Zugehörige Anwendungen auf Basis der Blockchain werden ohnehin weiterhin Bestand haben. Folglich ist auch weiter mit Cyber-Kriminalität im Umfeld von Bitcoin und Blockchain zu rechnen.pp

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert